[gelöst] Feinheiten der Berechtigungen Gruppenzugehörigkeit: neuer useraccount

[mcb]

Sorry,

wie lege ich einen 2ten Useraccount mit möglichst ähnliche Voreinstellngen wie meinen Defaultaccount an ?

useradd

oder adduser

?

Code: Alles auswählen

useradd username

Code: Alles auswählen

marc@mb:~$ groups
marc cdrom floppy audio dip video plugdev netdev bluetooth lpadmin scanner

[JTH]

Fürs interaktive Benutzeranlegen ist adduser empfehlenswert, das ist komfortabler. useradd auf der anderen Seite legt nämlich u.a. z.B. meine ich normalerweise kein Home-Verzeichnis an, wenn man das nicht extra verlangt.

Wenns dir anschließend bei den „Voreinstellungen“ nur um die Gruppen geht, einfach den neuen Benutzer hinzufügen, NEW_USER passend ersetzen:

Code: Alles auswählen

~# for marcs_group in cdrom floppy audio dip video plugdev netdev bluetooth lpadmin scanner; do adduser NEW_USER "$marcs_group"; done

Andere Einstellungen sind nicht so pauschal zu kopieren, außer du willst wirklich eins-zu-eins alles kopieren – aber das könnte Probleme bringen.

[mcb]

Jo ich möchte einen neuen user mit eigenem homeverzeichniß, eigenen Daten der getrent von "marc" ist

z.B. user Test um Sachen auszuprobieren - hätte gerne ähnliche Voreistelungen ~ ähnlicht Berechtigungen aber kein Zugriff auf /home von weiteren Benutzern

Code: Alles auswählen

root@mb:/home/marc# sudo adduser test
Adding user `test' ...
Adding new group `test' (1001) ...
Adding new user `test' (1001) with group `test' ...
Creating home directory `/home/test' ...
Copying files from `/etc/skel' ...

Wiso um Gotteswillen eine neue Gruppe

Code: Alles auswählen

su test
test@mb:/home/marc$ groups
test

??? Meno ...

Code: Alles auswählen

test@mb:~$ exit
root@mb:/home/marc# deluser test
bash: deluser: command not found
root@mb:/home/marc# sudo sudo deluser --remove-home test
Looking for files to backup/remove ...
Removing files ...
Removing user `test' ...
Warning: group `test' has no more members.
Done.
root@mb:/home/marc# ls /home/
lost+found  marc

Da braucht es noch ein sudo ?

Code: Alles auswählen

root@mb:/home/marc# for marcs_group in cdrom floppy audio dip video plugdev netdev bluetooth lpadmin scanner; do adduser test "$marcs_group"; done
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found
bash: adduser: command not found

Ich denke das ist genau was ich suche! Danke

[JTH]

Wiso um Gotteswillen eine neue Gruppe

Das soll so sein Zu jedem Benutzer (Systembenutzer mal ignoriert) gibt es auch normalerweise eine gleichnamige Gruppe. Zum Beispiel deswegen notwendig, da „deine“ Dateien immer deinem Benutzer und der gleichnamigen Gruppe gehören.

??? Meno ...

Wie angedeutet musst du die Gruppen nachträglich zuweisen. Ein neuer Benutzer ist erstmal (wenn man das nicht umkonfiguriert) nur in seiner eigenen Gruppe.

Da braucht es noch ein sudo ?

Jein. Entweder du führst diese for-Schleife mit

Code: Alles auswählen

sudo sh -c "for marcs_group in cdrom floppy audio dip video plugdev netdev bluetooth lpadmin scanner; do adduser test "$marcs_group"; done"

aus oder benutzt

Code: Alles auswählen

su -

inklusive dem - um zum root zu wechseln:

Code: Alles auswählen

marc@mb:~$ su -
Password: 
root@mb:~# for marcs_group in cdrom floppy audio dip video plugdev netdev bluetooth lpadmin scanner; do adduser test "$marcs_group"; done

[mcb]

Danke; Entschuldige mein Durcheinander ...

Möglichkeit 1:

adduser Test (mit der neuer Gruppe test) <-> den könnte ich dann in CDrom, Video und Co. stopfen oder in alle exklusive group "marc" (damit er mein home nicht liest).

Mist der kann /home/marc komplett lesen Ich muß noch viel lernen ...

[Meillo]

Waere es nicht sinnvoller, useradd(8) zu verwenden, mit `-G', `-m', etc.?

Ich habe nicht so viel Erfahrung mit der Usermanagement, darum kann ich keinen fertigen Befehl liefern und ich kenne auch nicht alle ggf. vorhandenen Implikationen. Mir scheint nur, dass ich bei useradd(8) all das angeben kann, was sich mcb wuenscht, waehrend bei adduser(8) nachgearbeitet werden muss.

[JTH]

Waere es nicht sinnvoller, useradd(8) zu verwenden, mit `-G', `-m', etc.?

Tatsache, wenn man (ich) gewusst hätte, dass -G existiert …

Bin trotzdem geneigt, eher adduser, statt useradd zu empfehlen. Da das Verhalten von -m/--create-home bei useradd in einer Debian-Installation m.W.n. nicht Standard ist (ließe sich in /etc umstellen) und das Home-Verzeichnis erstellen inkl. skel kopieren daher im Zweifelsfall extra Schritte braucht.

So ganz geläufig sind mir die Feinheiten allerdings auch nicht.

[mcb]

OK - Danke für den Input!

Ich kenne noch keine Feinheiten ->

aber das der neue Benutzer test /home/marc lesen kann ? Wie schließe ich das wenigstens aus ? (Jeder Benutzer möge nur sein /home lesen können)

user: test / group: test

Wenn ihr da noch einen Tip hättet.

[Meillo]

Poste mal die Ausgaben von:

Code: Alles auswählen

id marc
id test
ls -l /home

[mcb]

Code: Alles auswählen

/home/marc# id marc;id test; ls -l /home/
uid=1000(marc) gid=1000(marc) groups=1000(marc),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),109(netdev),112(bluetooth),117(lpadmin),118(scanner)
uid=1001(test) gid=1001(test) groups=1001(test)
total 24
drwx------  2 root root 16384 Aug 19 12:26 lost+found
drwxr-xr-x 53 marc marc  4096 Nov 24 18:06 marc
drwxr-xr-x  2 test test  4096 Nov 24 18:54 test
root@mb:/home/marc# 

[Meillo]

Als root:

Code: Alles auswählen

chmod 700 /home/marc /home/test

Dann sollte man wohl in /etc/adduser.conf noch DIR_MODE auf 700 setzen (statt 755), damit beim Anlegen neuer User die Rechte der Homeverzeichnisse gleich passen.

[mcb]

Als root:

Code: Alles auswählen

chmod 700 /home/marc /home/test

Dann sollte man wohl in /etc/adduser.conf noch DIR_MODE auf 700 setzen (statt 755), damit beim Anlegen neuer User die Rechte der Homeverzeichnisse gleich passen.

Danke ! Problem #1 gelöst ...

[Meillo]

Das noch ausstehende Problem ist, dass du eigentlich eine Art Kopie eines Users erstellen willst, korrekt? Alternativ einen neuen User anlegen, dem du verschiedene Vorgaben, wie Gruppenzugehoerigkeiten, gleich mitgeben kannst, korrekt?

Es gibt hier bestimmt ein paar Sysadmins, die sich damit auskennen.

Es waere wohl empfehlenswert, den Titel des Threads zu aendern, damit diese auch reinschauen. Bearbeite dazu den ersten Post und passe den Titel an. Z.B. in etwas wie: ``Neuen User gleich wie vorhandenen anlegen (Gruppen)''. (Ich hatte naemlich auch zuerst gedacht, dass es sich bei dem Thread um eine Vorstellung eines neuen Users im Forum handeln wuerde. )

[willy4711]

Mir ist überhaupt nicht klar was hier schon wieder für Sachen produziert werden.
Ein zweiter User kann lediglich auf die Standard - Verzeichnisse zugreifen.

Alle unsichtbaren Verzeichnisse sind nur mit Pw einsehbar, Zugriff eh nicht.

Und das ist wohl unschädlich.
Wenn man es unbedingt könnte man die Rechte auf auf diese Verzeichnisse ändern.
Wozu also die Spielerei mit chmod usw usw ?????

Code: Alles auswählen

egon@debian:~$ ls -al /home/willy
insgesamt 1812
drwxr-xr-x 21 willy willy    4096  8. Nov 10:37 .
drwxr-xr-x  4 root  root     4096  1. Apr 2020  ..
-rw-------  1 willy willy    1629  8. Nov 10:37 .bash_history
-rw-r--r--  1 willy willy     220 11. Mär 2020  .bash_logout
-rw-r--r--  1 willy willy    3526 11. Mär 2020  .bashrc
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Bilder
drwx------ 20 willy willy    4096  8. Nov 10:27 .cache
drwx------ 23 willy willy    4096 29. Okt 11:30 .config
-rw-------  1 willy willy 2387968  8. Nov 09:36 core
drwx------  3 willy willy    4096 12. Mär 2020  .dbus
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Dokumente
drwxr-xr-x  2 willy willy    4096 21. Sep 18:07 Downloads
drwx------  2 willy willy    4096 30. Aug 10:08 .gconf
drwx------  3 willy willy    4096  8. Nov 10:27 .gnupg
-rw-------  1 willy willy   18122 29. Okt 11:22 .ICEauthority
drwx------  3 willy willy    4096 11. Mär 2020  .local
drwx------  5 willy willy    4096 12. Mär 2020  .mozilla
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Musik
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Öffentlich
drwx------  2 willy willy    4096 29. Okt 11:22 .pipewire-media-session
drwx------  3 willy willy    4096  8. Nov 09:37 .pki
-rw-r--r--  1 willy willy     807 11. Mär 2020  .profile
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Schreibtisch
drwx------  2 willy willy    4096 11. Mär 2020  .ssh
drwx------  6 willy willy    4096 30. Aug 10:45 .thunderbird
-rw-r-----  1 willy willy       5  8. Nov 10:27 .vboxclient-display-svga-x11.pid
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Videos
drwxr-xr-x  2 willy willy    4096 11. Mär 2020  Vorlagen
egon@debian:~$ 

Nun hab ich mir auch noch die Mühe gemacht, die Gruppen Zugehörigkeiten anzupassen, was aber nichts ändert.

Code: Alles auswählen

egon@debian:~$ cat /etc/group |sort
adm:x:4:willy,egon
audio:x:29:pulse,willy,egon
avahi:x:117:
backup:x:34:
bin:x:2:
bluetooth:x:112:willy,egon
cdrom:x:24:willy,egon
colord:x:122:
crontab:x:108:
daemon:x:1:
Debian-gdm:x:124:
dialout:x:20:
dip:x:30:willy,egon
disk:x:6:
egon:x:1002:
fax:x:21:
floppy:x:25:willy,egon
games:x:60:
geoclue:x:123:
gnats:x:41:
guest:x:1001:egon
input:x:105:
irc:x:39:
kmem:x:15:
kvm:x:106:
list:x:38:
lpadmin:x:116:willy,egon
lp:x:7:
mail:x:8:
man:x:12:
messagebus:x:111:
netdev:x:109:willy,egon
news:x:9:
nogroup:x:65534:
operator:x:37:
plugdev:x:46:willy,egon
proxy:x:13:
pulse-access:x:120:
pulse:x:119:willy,egon
render:x:107:
root:x:0:
rtkit:x:114:
saned:x:121:
sasl:x:45:
scanner:x:118:saned,willy,egon
shadow:x:42:
src:x:40:
ssh:x:115:
ssl-cert:x:113:
staff:x:50:
sudo:x:27:willy
systemd-coredump:x:999:
systemd-journal:x:101:willy,egon
systemd-network:x:103:
systemd-resolve:x:104:
systemd-timesync:x:102:
sys:x:3:
tape:x:26:
tss:x:110:
tty:x:5:
users:x:100:
utmp:x:43:
uucp:x:10:
vboxsf:x:998:willy,egon
video:x:44:willy,egon
voice:x:22:
weston-launch:x:125:willy,egon
willy:x:1000:
winbindd_priv:x:126:
www-data:x:33:
egon@debian:~$ 

[Meillo]

Mir ist überhaupt nicht klar was hier schon wieder für Sachen produziert werden.
Ein zweiter User kann lediglich auf die Standard - Verzeichnisse zugreifen.

Alle unsichtbaren Verzeichnisse sind nur mit Pw einsehbar, Zugriff eh nicht.

Und das ist wohl unschädlich.

Ich wuerde dein Aussage gerne verstehen, tue mich aber etwas schwer, nachzuvollziehen was genau zu meinst.

- Was meinst du mit ``Standard-Verzeichnisse''?

- Wie meinst du das, dass unsichtbare Verzeichnisse nur mit Passwort einsehbar waeren?
- Welche unsichtbaren Verzeichnisse meinst du damit?
- Was meinst du in diesem Kontext mit einem Passwort?
- Was hat das Nichtauflisten bei ls(1) mit Zugriffsrechten zu tun?

- Was genau ist unschaedlich?

Vielleicht kannst du nochmal etwas genauer beschreiben was du damit meinst.

[willy4711]

- Was meinst du mit ``Standard-Verzeichnisse''?

Diese:

Code: Alles auswählen

~$ cat ~/.config/user-dirs.dirs
# This file is written by xdg-user-dirs-update
# If you want to change or add directories, just edit the line you're
# interested in. All local changes will be retained on the next run.
# Format is XDG_xxx_DIR="$HOME/yyy", where yyy is a shell-escaped
# homedir-relative path, or XDG_xxx_DIR="/yyy", where /yyy is an
# absolute path. No other format is supported.
# 
XDG_DESKTOP_DIR="$HOME/Schreibtisch"
XDG_DOWNLOAD_DIR="$HOME/"
XDG_TEMPLATES_DIR="$HOME/"
XDG_PUBLICSHARE_DIR="$HOME/"
XDG_DOCUMENTS_DIR="$HOME/"
XDG_MUSIC_DIR="$HOME/"
XDG_PICTURES_DIR="$HOME/"
XDG_VIDEOS_DIR="$HOME/"

- Wie meinst du das, dass unsichtbare Verzeichnisse nur mit Passwort einsehbar waeren?

Für alle anderen brauchst du ein Pw. Vermutung: PW des anderen Users, wies geschrieben steht.

Welche unsichtbaren Verzeichnisse meinst du damit?

Alle, die in user-dirs.dirs nicht vorhanden sind, sind in der Regel "unsichtbar", bzw haben andere Berechtigungen. S.O.

- Was hat das Nichtauflisten bei ls(1) mit Zugriffsrechten zu tun?

Versteh ich nicht. Sind alle aufgelistet.

- Was genau ist unschaedlich?

Er will ja Probieren und Testen. Änderungen werden in der Regel dann nicht im Verzeichnis Bilder gemacht,
sondern meist in /.config oder sonst wo, und da ist halt kein Zugriff.

[eggy]

Um die Verwirrungen mal etwas aufzudröseln (oder neue hinzuzufügen ):

Je nachdem was/wie installiert wurde, gibts zwei mögliche Startszenarien:
a) weltweit lesbare Homedirectories
b) nur für Besitzer lesbares Homedirectories
Kann mich irren, aber ich glaube, der default war früher (Woody/Sarge?) mal anders als heute, bzw die Nachfrage wie man's haben will, wird durch die Installation von adduser ausgelöst und je nachdem ob am "normal" oder "expert" installiert, gits die Frage oder nicht? Ka, ich bin zu faul das jetzt auszuprobieren, falls das jemand mal nachstellen will und ne Lösung hat, kann er ja Bescheid geben. "dpkg-reconfigure adduser" reicht jedenfalls um den Dialog zu triggern, je nach Setting gegebenfalls mit "-plow".

Man kann die Berechtigungen selbstverständlich auch per Hand setzen, und vermutlich deswegen hat Meillo nach dem aktuellen Zustand gefragt (ls -l /home).

Es gibt diverse Voreinstellungsdateien, in der die defaults für neue User gesetzt werden, u.a. /etc/adduser.conf (wird natürlich nicht beachtet, wenn man alles per Hand oder mit Lowlevel Tools anlegt):

Code: Alles auswählen

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755

Darin ist auch der Ort der Skelettonfiles hinterlegt, die beim Erstellen eines meuen Users mit den entsprechenden Vorgaben Kopiert werden, falls man das richtige Tool mit den richtigen Schaltern benutzt.

man useradd:

useradd is a low level utility for adding users. On Debian, administrators should usually use adduser(8) instead.

[willy4711]

Code: Alles auswählen

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755

775 bezieht sich ausschließlich auf die Verzeichnisse in ~/.config/user-dirs.dirs.
Macht aus meiner Sicht für einen Haushalts Rechner auch einen gewissen Sinn.
Das ist die Standard Einstellung zumindest wenn man den User mit

Code: Alles auswählen

adduser egon

zufügt

[eggy]

Code: Alles auswählen

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755

775 bezieht sich ausschließlich auf die Verzeichnisse in ~/.config/user-dirs.dirs.

Nö.

Kannst Du selbst testen: ls /home -lah
zuerst mit 755 und "adduser eins":

drwxr-xr-x 2 eins eins 4.0K Nov 24 16:20 eins

dann mit 700 und "adduser zwei":

drwx------ 2 zwei zwei 4.0K Nov 24 16:21 zwei

[Meillo]

Ich will das mal so formulieren: Wenn ich die Haustuer zuschliesse (d.h. das Homeverzeichnis fuer andere nicht lesbar mache), dann brauche ich mir keine Gedanken machen, ob alle Schraenke und Schubladen verschlossen sind (Rechte von all dem was sich im Homeverzeichnis befindet). Dann brauche ich mir keine Gedanken zur Umask machen und auch keine wenn ich Dateien von FAT-formatierten-USB-Sticks kopiere. Ich habe dann auch nicht manche Verzeichnisse, die jemand anderes vielleicht/doch lesen kann.

Wenn es eine einzige Stelle gibt, die all diese Fragen in definitiver Weise loest, dann wuerde ich an der ansetzen. Also beim eigenen Homeverzeichnis die Rechte so setzen wie man sie gerne haette. (Das kann jeder User fuer sich selbst einstellen. Der Hinweis auf die root-Rechte war nur dafuer da, dass mcb es mit einem Befehl fuer beide User umsetzen konnte.)


... aber wir bewegen uns hier thematisch auf einem Seitenast. mcb sucht noch immer einen Befehl oder ein Vorgehen mit dem er einen zweiten User anlegen kann, der so ist wie ein anderer, bereits vorhandener User (gleiche Gruppen und so).

[fischig]

Ich habe vor Urzeiten mal ein ziemliches ähnliches Anliegen auf mehr oder weniger öffentlichen Rechnern mit sysvinit verfolgt. Stichwort war damals /etc/*/skel. Wie weit das heutzutage, insbesondere mit systemd, noch machbar ist, weiß ich nicht. Ich schätze aber, dass der Weg: die Rechte/Gruppenzugehörigkeiten nach Anlegen des/der User(s) händisch einzurichten, der einfachere ist.

Und wieso bei mcb der „alte“ Benutzer zumindest Leserechte im home des „neuen“ hat, erschließt sich mir auch nicht. Kenn' ich nicht. System-Installationsbesonderheit, wie o.a.?

[JTH]

Stichwort war damals /etc/*/skel. Wie weit das heutzutage, insbesondere mit systemd, noch machbar ist, weiß ich nicht.

/etc/skel gibt es weiterhin und wird weiter von adduser und useradd als Grundgerüst für ein neues Home-Verzeichnis benutzt. systemd hat da nichts mit zu tun (solange nicht irgendwo schon an einem systemd-skeld gebastelt wird )

Und wieso bei mcb der „alte“ Benutzer zumindest Leserechte im home des „neuen“ hat, erschließt sich mir auch nicht.

Das ist das normale „Verhalten“ einer frischen Debian-Installation. Home-Verzeichnisse aller Benutzer sind für alle Benutzer listbar, aber nicht zwangsläufig alles lesbar, wie Willy geschrieben hat. Besonders die sensibleren Dat(ei)en (gpg etc.) sind immer erstmal nur für den Besitzer lesbar.

[mcb]

Ich will das mal so formulieren: Wenn ich die Haustuer zuschliesse (d.h. das Homeverzeichnis fuer andere nicht lesbar mache), dann brauche ich mir keine Gedanken machen, ob alle Schraenke und Schubladen verschlossen sind (Rechte von all dem was sich im Homeverzeichnis befindet). Dann brauche ich mir keine Gedanken zur Umask machen und auch keine wenn ich Dateien von FAT-formatierten-USB-Sticks kopiere. Ich habe dann auch nicht manche Verzeichnisse, die jemand anderes vielleicht/doch lesen kann.
................

Ja - das trifft es genau.

Beispiel user2 surft auf komischen Webseiten und verwendet Chromium inkl. Sicherheitslücken -> mein Arbeitsverzeichniss soll nicht les- und listbar sein.

Mit der Gruppenzugehörigkeit für neue Accounts: ich weiß noch nicht welche es braucht ...der Voreingestellte Benutzer hat ja recht viele floppy cdrom audio ...

Code: Alles auswählen

adduser marc sudo

So ginge das ja auch.

[eggy]

Das ist das normale „Verhalten“ einer frischen Debian-Installation. Home-Verzeichnisse aller Benutzer sind für alle Benutzer listbar, aber nicht zwangsläufig alles lesbar, wie Willy geschrieben hat. Besonders die sensibleren Dat(ei)en (gpg etc.) sind immer erstmal nur für den Besitzer lesbar.

Nö. Das hängt davon ab, wie man installiert bzw das System konfiguriert.
Dass bei nen paar Dateien, vom dazugehörigen Programm aus darauf geachtet wird, ist zwar löblich, aber nicht generell der Fall.
Und was die Leute als "sensibler" betrachten ist sicherlich sehr unterschiedlich. Ich würde mal behaupten wollen, Tante Emma hält ihr Libreoffice-Tagebuch für sensibler als ungenutzte gpg-Keys.

[fischig]

Das ist das normale „Verhalten“ einer frischen Debian-Installation.

Stimmt! Ich hatte das, wenn ich „normal“ statt Verhalten in Anführungszeichen setze, anders in Erinnerung. War ja dann offenbar falsch.

Und jetzt macht eggy mich ganz wuschelig!